李军?谢宗晓
“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起,从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前,已发表论文80多篇,出版专著近20本。
信息安全管理系列之三十七
《中华人民共和国网络安全法》的颁布实施使得国内网络安全管理进入了一个新的时期。在本系列之前的讨论中,虽然也对“网络安全(Cybersecurity)”的相关词汇进行了解析,但是并不是专门针对该法律,更多的是从学术讨论的角度。下文对其中的关键词汇进行了相应的解析,以加深对法律条文的解读。
谢宗晓(特约编辑)
《中华人民共和国网络安全法》中关键词汇的定义及解析
李军(内蒙古自治区公安厅)
谢宗晓(中国金融认证中心)
摘要:对《中华人民共和国网络安全法》中所定义的五个关键词汇进行了解读,并与平时所用的相似词汇进行了区别。
关键词: 网络安全 网络安全法 网络空间
Definition and Analysis of Key Words in Cybersecurity Law of PRC
Li Jun ( Inner Mongolia Autonomous Region Public Security Department )
Xie Zongxiao ( China Financial Certification Authority )
Abstract: This paper makes an understanding of the five key words defined in the cybersecurity law of the Peoples Republic of China, and differs from the usual similar vocabulary.
Key words: Cybersecurity, Cybersecurity Law, Cyberspace
《中华人民共和国网络安全法》(下文中简称:《网络安全法》)的第七十六条,定义了五个词汇,分别为:(1)网络;(2)网络安全;(3)网络运营者;(4)网络数据;(5)个人信息。这几个词汇的定义与我们平时的习惯理解有一定的差异,有必要进行更进一步的解析。
1 网络
“网络”是《网络安全法》中最重要的词汇。原文定义如下:
网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
显然,这个定义与“计算机网络(Computer Network)”不同,强调的是“系统(System)”的概念。
杨合庆[1]158-159认为网络存在狭义的网络和广义的网络,狭义的网络是指互联网(Internet),广义的网络是指计算机信息系统(Computer Information System)。此处为广义的网络。
《中华人民共和國计算机信息系统安全保护条例》(1994年2月18日中华人民共和国国务院令第147号发布)中第二条:
本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
计算机信息系统的定义也被引用在强制性标准GB 17859—1999《计算机信息系统 安全保护等级划分准则》中。但是,在平时的应用中,我们更多地用“信息系统(Information System,IS)”,可以将此认为同义词。在《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)中:
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络。
通过比较,计算机信息系统的定义中更强调“人机系统”[2],而在信息系统的定义中,并没有强调这个概念,而只是强调了“系统或网络”,此处的“网络”没有给出英文,从发布的时间以及上下文推断,应该是Network。
综上所述,《网络安全法》中的网络,并不是传统意义上的Network,或者Internet,而是广义的信息系统的概念,英文中没有明确的对应词汇。
2 网络安全
《网络安全法》标题中的“网络安全”是一个词汇,因为该法律对应的英文是Cybersecurity Law。同理,最新的美国网络安全法对应的英文是Cybersecurity Act of 2015。《网络安全法》中对网络安全的定义如下:
网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
网络安全对应的英文是Cybersecurity,另一个佐证是《网络安全法》中第二十一条:
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
……
而对应的网络安全等级保护的相关标准,例如,GA/T 1390.2—2017中英文标题为:
● 信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求;
● Information security technology—General requirements for classified protection of cybersecurity — Part 2: Special security requirements for cloud computing。
网络安全的定义分为四个层次[1]160,如图1所示。
图1 网络安全的四个层次
国际标准中,较常见的Cybersecurity(网络安全)的定义来源于ISO/IEC 27032:2012或ITU-T X.1205,两者共同的特点是,对于安全属性的排列顺序为:可用性、完整性和保密性[3]。
需要补充说明的一点是,网络安全(Cybersecurity)是网络空间安全(Cyberspace Security)的简称,而不是传统的网络安全(Network Security)。关于该词汇的来龙去脉,可以参考文献[3]、[4]。
3 网络运营者
《网络安全法》中有两种重要的角色,即“网络运营者”和 “网络监管者”。网络运营者的具体定义为:
网络运营者,是指网络的所有者、管理者和网络服务提供者。
这个定义需要特别指出的是,《网络安全法》规定的网络除了互联网外,还包括局域网和工业控制系统,他们很多不向社会提供商业和公共服务,但其所有者和控制者也必须承担相应的安全义务,防范网络安全风险,保障网络安全稳定运行[1]161。
4 网络数据
网络数据是从网络概念延伸而來的,原文定义如下:
网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。
对比《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号):
信息系统是指……;
信息是指在信息系统中存储、传输、处理的数字化信息。
结合上文中的讨论,《网络安全法》中的“网络”实际是指“计算机信息系统”或“信息系统”。可见,“网络数据”的定义与“信息”的定义也类似。
但是严格来讲,数据、信息和知识是不同的概念,是递进的。信息主要指有序的数据,知识主要指有用的信息。如图2所示。
图2 数据、信息和知识
5 个人信息
在国外的信息系统研究(IS Research)中,隐私(Privacy)管理是一个热门领域。
我们可以认为隐私是一个独立的研究方向,也可以认为信息隐私(Information Privacy)是信息系统研究或信息安全中一个重要的方向。例如,在实践中,ISO/IEC JCT 1是国际标准化组织(ISO)与国际电工委员会(IEC)的联合技术委员会,即信息技术标准委员会,SC 27是其中一个分技术委员会(Subcommittee)——信息技术安全技术标准委员会(IT Security techniques)。其工作任务的描述为:开发protection of information and ICT 的标准,其中包括generic methods, techniques and guidelines to address both security and privacy aspects。可见,把Privacy与Security并列提出,但是这两者又都在ISO/IEC JCT 1/SC 27的工作范围内。
《网络安全法》中对“个人信息”的定义如下:
个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
杨合庆[1]161-162认为“隐私”通常是指负面信息,个人信息在私密程度和负面性等弱于“个人信息”,但是有更强的商业性。在国外研究领域,隐私有诸多定义,例如,Clarke[5]将其描述为“隐私被认为是道德权利或合法权利(a moral right or a legal right)”,比较抽象。更通俗的定义如“隐私是一个人控制其个人信息的能力”[6-7],但是个人信息这个词汇并不常见。
我们将秘密分成三个层次[8]:(1)国家层次的秘密,国家秘密;(2)组织层次的秘密,商业秘密;(3)个体层次的秘密,个人信息或隐私。具体如图3所示。
图3 秘密的三个层次
组织秘密的管理无论是研究领域还是在实践中都不是单独的方向,一般会作为信息安全管理的一部分存在。国家秘密可以认为是一个相对独立的方向,在实践中表现的尤为明显,例如,在国内组织的架构中,保密办公室这个机构与信息系统管理部门一般没有太多关联,其工作对应国家保密局。
其中,国家秘密对应的法律为《中华人民共和国保守国家秘密法》(1988年9月5日中华人民共和国主席令第6号公布),而更早的版本为1951年6月1日政务院1)第八十七次政务会议通过,1951年6月7日报请中央人民政府主席批准,1951年6月8日政务院命令公布的《保守国家机密暂行条例》。
国家秘密的范围在《中华人民共和国保守国家秘密法》中也有详细的定义,如下:
第二章 国家秘密的范围和密级
第九条 下列涉及国家安全和利益的事项,泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的,应当确定为国家秘密:
(一)国家事务重大决策中的秘密事项;
(二)国防建设和武装力量活动中的秘密事项;
(三)外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项;
(四)国民经济和社会发展中的秘密事项;
(五)科学技术中的秘密事项;
(六)维护国家安全活动和追查刑事犯罪中的秘密事项;
(七)经国家保密行政管理部门确定的其他秘密事项。
杨合庆. 中华人民共和国网络安全法解读[M]. 北京:中国法制出版社,2017.
谢宗晓,甄杰,董坤祥,等. 网络空间安全管理[M]. 北京:中国质检出版社/中国标准出版社,2017.
谢宗晓. 关于网络空间(cyberspace)及其相关词汇的再解析[J]. 中国标准导报,2016(02):26-28.
谢宗晓. 信息安全、网络安全及赛博安全相关词汇辨析[J]. 中国标准导报,2015(12):30-32.
Clarke R.Internet Privacy Concerns Confirm the Case for Intervention[J]. Communications of the ACM, 1999, 42(2): 60-67.
Bélanger F, Hiller J, Smith W J. Trustworthiness in Electronic Commerce: The Role of Privacy, Security, and Site Attributes[J]. Journal of Strategic Information Systems, 2002, 11(3/4): 245-270.
Stone E F, Gardner D G, Gueutal H G, et. al. A Field Experiment Comparing Information-Privacy Values, Beliefs, and Attitudes Across Several Types of Organizations[J]. Journal of Applied Psychology, 1983, 68(3): 459-468.
林润辉,李大辉,谢宗晓,等. 信息安全管理理论与实践[M]. 北京:中国标准出版社,2015.